Анализ кибератак и методов отмывания денег северокорейской хакерской группы Lazarus Group

Недавно в секретном докладе ООН были раскрыты последние преступные действия северокорейской хакерской группы Lazarus Group. Эта организация в марте этого года отмыла 147,5 миллиона долларов США через одну из платформ виртуальной валюты, эти средства были получены в результате кражи из криптовалютной биржи в прошлом году.

Наблюдатели Комитета санкций Совета Безопасности ООН расследуют 97 подозрительных кибератак северокорейских Хакер на криптовалютные компании, произошедших в период с 2017 по 2024 год, общая сумма которых составляет до 3,6 миллиарда долларов. В их число входит атака на одну из криптовалютных бирж в конце прошлого года, в результате которой было украдено 147,5 миллиона долларов, а процесс отмывания средств завершился в марте этого года.

В 2022 году США наложили санкции на эту виртуальную валютную платформу. В следующем году двое соучредителей платформы были обвинены в содействии отмыванию более 1 миллиарда долларов, часть средств из которых была связана с киберпреступной организацией Северной Кореи Lazarus Group.

По данным исследования одного криптовалютного аналитика, группа Lazarus конвертировала криптовалюту на сумму 200 миллионов долларов в фиатные деньги в период с августа 2020 года по октябрь 2023 года.

Группа Лазаря долгое время считалась закулисным человеком масштабных кибератак и финансовых преступлений по всему миру. Их цели охватывают несколько областей, включая банковские системы, криптовалютные биржи, государственные учреждения и частные компании. В дальнейшем будут подробно проанализированы несколько типичных случаев атак этой организации, раскрывающие их сложные методы преступления.

Социальная инженерия и фишинговые атаки группы Lazarus

Согласно сообщениям европейских СМИ, Lazarus ранее нацеливался на военные и аэрокосмические компании в Европе и на Ближнем Востоке. Они размещали фальшивые объявления о найме на социальных платформах, чтобы заманить соискателей загрузить PDF-файлы с внедренным вредоносным кодом, тем самым осуществляя фишинг-атаки.

Такие социальные инженерные и фишинговые атаки используют психологические манипуляции, чтобы заставить жертв расслабиться и выполнить опасные действия, такие как щелчок по ссылке или загрузка файла. Хакер с помощью установленного вредоносного ПО может использовать уязвимости в системе жертвы и украсть конфиденциальную информацию.

Lazarus также проводил полугодовую атаку на одного провайдера криптовалютных платежей, в результате чего компания понесла убытки в 37 миллионов долларов. В ходе всей атаки Хакер отправлял инженерам ложные предложения о работе, одновременно проводя распределенные атаки отказа в обслуживании и пытаясь взломать пароли.

Серия атак на криптовалютные биржи

С августа по октябрь 2020 года несколько криптовалютных бирж стали жертвами атак. 24 августа был украден кошелек одной канадской биржи. 11 сентября произошло несанкционированное списание с нескольких кошельков, контролируемых командой одного проекта, с потерями в 400 000 долларов. 6 октября другая биржа потеряла криптоактивы на сумму 750 000 долларов из-за уязвимости в безопасности.

Эти украденные средства были собраны на одном и том же адресе в начале 2021 года. С 11 по 15 января злоумышленники внесли и вывели почти 4500 ETH через определённый сервис смешивания. К 2023 году эти средства после нескольких переводов и обменов в конечном итоге были отправлены на некоторые конкретные адреса депозитов.

Направленные атаки на известных людей

14 декабря 2020 года основатель одной из платформ взаимного страхования стал жертвой Хакера, потеряв токенов на сумму 8,3 миллиона долларов. Атакующий затем перевел и обменял средства через несколько адресов, часть средств была также переведена на сеть Биткойн, а затем возвращена в Эфириум, после чего была замешана через платформу для смешивания.

С 16 по 20 декабря 2020 года злоумышленники отправили более 2500 ETH в сервис смешивания. Через несколько часов другой адрес начал выводить эти средства. С мая по июль 2021 года злоумышленники перевели 11 миллионов USDT на один адрес депозита. С февраля по июнь 2023 года еще более 11 миллионов USDT были переведены на другие адреса депозита.

Последние случаи атак

В августе 2023 года произошло два новых инцидента с атаками. Украденные 1524 ETH были переведены в одну из служб смешивания. 12 октября того же года эти средства были выведены на новый адрес. В ноябре этот адрес начал перемещать средства, в конечном итоге через промежуточные и обменные операции отправив их на несколько конкретных адресов для депозитов.

Итог

Методы преступлений группы Lazarus демонстрируют определённую закономерность: после кражи криптоактивов они обычно используют кросс-цепочные операции и сервисы для смешивания монет, чтобы запутать источник средств. Затем они выводят замешанные активы на целевой адрес и отправляют их на фиксированные адреса для вывода. Украденные активы в конечном итоге часто хранятся на определённом депозитном адресе, а затем обмениваются на фиатные деньги через услуги внебиржевой торговли.

Перед лицом постоянных и масштабных атак группы Lazarus, индустрия Web3 сталкивается с серьезными проблемами безопасности. Соответствующие учреждения продолжают следить за действиями этого Хакера, чтобы помочь проектам, а также регулирующим и правоохранительным органам в борьбе с такими преступлениями и возврате украденных активов.